文部科学省の「教育情報セキュリティポリシーに関するガイドライン 改訂版」が示す教育DXの道筋となるセキュリティー対策
- お役立ち情報
2025年05月12日
- DX
- セキュリティー
日本社会の持続的な発展のために、教育分野でもDX(デジタルトランスフォーメーション)の推進が求められています。そうした中、小中学校ならではの課題に配慮した情報セキュリティーの確立が急務となっています。
このような背景のもと、文部科学省により2017年10月に「教育情報セキュリティポリシーに関するガイドライン」が策定され、2025年3月までに計5回の改訂が行われてきました。本ガイドラインの目的と改訂のポイントやガイドラインに沿った実践的な対策のヒントについて、検討会座長を務める髙橋 邦夫氏に伺いました。
目次
GIGAスクール構想と歩調を合わせた「教育情報セキュリティポリシーに関するガイドライン」
合同会社KUコンサルティング 代表社員文部科学省「『教育情報セキュリティポリシーに関するガイドライン』の改訂に係る検討会」座長
総務省「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」委員
髙橋 邦夫氏
——教育分野でもDXが推進されています。2019年には文部科学省から「GIGAスクール構想」が提唱され、取り組みが進められていますが、この構想がどのような背景で策定されたのか改めて教えてください。
髙橋 邦夫氏(以下、髙橋):GIGAスクール構想は、小中学校の児童生徒に1人1台の端末と高速ネットワーク環境を整備することで、個別最適な学びと協働的な学びの充実を図るとともに、学校運営や学習指導の質的向上を目指す取り組みです。
海外の教育現場ではデジタル化への対応が進み、国際的な学習到達度調査(Programme for International Student Assessment、以下、PISA)も、2015年以降は試験自体がコンピューターを使用する形式に変わりました。一方で日本の教育現場ではICT活用が進んでおらず、子どもたちがデジタル機器を使ったテストに不慣れだったことから、2018年にかけてPISAの得点が大きく低下してしまいました。また現代社会では単なる知識の暗記や理解よりも、知識を活用する力が求められるようになっていることから、暗記中心の従来型教育では限界があります。
海外の教育現場ではデジタル化への対応が進み、国際的な学習到達度調査(Programme for International Student Assessment、以下、PISA)も、2015年以降は試験自体がコンピューターを使用する形式に変わりました。一方で日本の教育現場ではICT活用が進んでおらず、子どもたちがデジタル機器を使ったテストに不慣れだったことから、2018年にかけてPISAの得点が大きく低下してしまいました。また現代社会では単なる知識の暗記や理解よりも、知識を活用する力が求められるようになっていることから、暗記中心の従来型教育では限界があります。
2015年からパソコンでの受験に変わり、「読解力」「数学的リテラシー」において日本の得点が有意に低下した。
ICT環境を整え、思考力や判断力を育成する探究的な学習や個別最適化された学習など、実社会との接続を意識した教育が求められています。このようなデジタル対応の遅れと従来型教育の限界という課題を背景に、GIGAスクール構想が提唱されました。
——GIGAスクール構想に先駆けて、2017年に「教育情報セキュリティポリシーに関するガイドライン」が策定されました。このガイドラインは、GIGAスクール構想の実現にどのように寄与するのでしょうか。
髙橋:ガイドラインは当初、教員による校務のデジタル化を支援することを主な目的としていました。当時多くの教員が個人のパソコンで通知表を作成していましたが、児童生徒の成績は機密情報であるため、適切な管理方法を周知・徹底する必要がありました。
しかし、このポリシーの策定過程において、高校受験に失敗した生徒が友人の進学先のネットワークに不正侵入し、成績情報を持ち出して公開するという情報漏えい事件が発生しました。この事態を重く見た関係者から、教職員だけではなく児童生徒にも適用される情報セキュリティーポリシーの必要性が指摘され、ガイドラインに反映されることになりました。その後、GIGAスクール構想の進捗に合わせて、本ガイドラインは2025年3月までに計5回の改訂が実施されています。
「教育情報セキュリティポリシーに関するガイドライン」改訂の狙い
——生成AIについても同様に高度な活用が進んでいるのでしょうか。
髙橋:そうなればよかったのですが、これまでのAIの活用と少し勝手が違い、生成AIについては出遅れてしまった感が否めません。
2022年に登場したチャットサービスのChatGPTは、社会に大きなインパクトをもたらしました。「これはすごい技術だ!」と、2023年初頭には多くの企業が大規模言語モデル(LLM)の活用に向けて動き始めました。
一方で、生成AI活用の課題についても注目が集まりました。例えば、生成AIに入力した情報がLLMに再学習されて外部に流出してしまうセキュリティーリスクや、回答結果に誤りが含まれるリスクなどに過剰反応して、二の足を踏んでしまったのです。
——ガイドラインは2017年の策定以来、複数回に分けて改訂されてきました。どのような狙いで改訂されてきたのでしょうか。
髙橋:ガイドラインは教育現場のデジタル化が急速に進む中で、安全な学習・教育環境を整備することを念頭に置いて、教育現場のニーズや新しい技術を取り入れ、より効果的な情報セキュリティー対策を実現するために改訂してきました。
デジタル技術とともに、それによる脅威も進化しています。ネットワーク環境や利用形態の変化に応じて、適切な対策を示す必要がありました。また、教育活動の円滑な実施と情報セキュリティーの確保という、時として相反する要求の両立を図ることも必要です。過度に厳格な情報セキュリティー対策が教育活動の妨げとならないよう、バランスの取れた指針を示すことを目指しています。
2017年の策定時は、校務のデジタル化を背景にした成績情報など、教員による情報セキュリティーの確保が主な内容でした。
2019年以降の各改訂のポイントについて、大まかにご説明しましょう。まず2019年の改訂では、GIGAスクール構想の実施を踏まえた児童生徒のICT利用に関する指針が追加されました。2回目の2021年の改訂では、社会へのクラウドサービスの普及を背景に、「クラウドサービスの利用を第一候補として検討する」という政府の「クラウド・バイ・デフォルト原則」への対応と、学習系と校務系ネットワークの分離原則を見直しました。3回目の2022年の改訂では、ネットワーク分離からゼロトラストモデルへの移行というIT全般のトレンドを受け、情報セキュリティー対策でより柔軟で安全なアクセス制御を推奨する内容になりました。4回目の2024年の改訂では、自治体の教育委員会や学校現場の状況に即した対応ができるように内容を追加したり読みやすさに配慮したりして、徐々に良いものに仕上げてきています。
そして直近の2025年の改訂では、情報アクセス権限の見直しを行いました。具体的には、これまで教員のみに限定されていたアクセス権限を、児童生徒にも付与する方針を検討しています。例えば、自分の成績結果や健康診断結果、その他の個人情報を本人に限定して直接確認できるようにする方針がガイドラインに加わっています。
この変更は情報管理の在り方を大きく転換するため、情報資産の分類・仕分け・管理方法の見直しおよび次世代校務DX環境への移行を進める上で必要となるセキュリティー対策に関する記載の見直しなど、セキュリティーポリシー全体の見直しを伴う重要な改訂になりました。
ガイドラインに沿った実行のために教育現場や教育委員会が考慮すべきポイント
——「教育情報セキュリティポリシーに関するガイドライン」で推奨されているセキュリティーポリシーを実践するために、教育現場が考慮すべきポイントを教えてください。
髙橋:ガイドラインの策定において、最も重視しているのは児童生徒への配慮です。学校では、ITリテラシーが未熟な児童生徒が日常的にインターネットを利用するため、適切な安全対策が不可欠となります。
しかしながら、過度な制限をすると調べ学習の幅が狭まり、情報リテラシーを学ぶ機会を逸してしまう可能性があります。これはGIGAスクール構想の理念とも相反します。そのため、一定のリスクを許容しながら、安全なインターネット利用を実現する必要があります。教育現場特有の繊細なバランス調整が求められます。
また、情報セキュリティー対策と併せて重要なのが、ネットワークの可用性です。1クラス40人程度の児童生徒がデジタル教科書の同じページを一斉に閲覧する場合など、大容量のデータ通信が発生します。このような教育活動を円滑に行うためには、十分な通信帯域とインフラ整備が必要です。
このように、教育現場の情報セキュリティーポリシーには、安全性の確保、学習機会の保障、ネットワークの可用性という3つの要素のバランスが求められます。これらを適切に調整することで、より効果的な教育環境の実現が可能となります。
——自治体や教育委員会などのシステム構築や利用、運用に対する意識で更新しなければならない点はありますか。
髙橋:児童生徒の個人識別IDの管理方法について課題があると感じています。私たち学校DX戦略アドバイザーも、この問題を繰り返し指摘してきましたが、まだ十分な改善が見られていません。
特に懸念されるのは、一部の教育委員会で採用されている旧来型のID管理方式です。例えば「1年1組 出席番号1番」の児童生徒に「010101」というIDを割り当てる方式が、いまだに使用されています。この方式には問題があり、年度ごとにIDがリセットされるため、進級後に過去の学習データへのアクセスが困難になります。具体的には、前年度に作成した作品や課題などの成果物や健康診断の結果を、新学年になると見返せなくなってしまいます。
このような状況を改善するために、教育委員会や自治体には、児童生徒の“情報資産”を継承することについて、理解を深めていただく必要があります。理想的には、小学校入学時に付与されたIDを中学校卒業時まで、さらには高校卒業時まで継続して使用できる仕組みの構築が望ましいです。これが児童生徒の学習履歴を継続的に蓄積し、活用していくための重要な基盤となります。そのためには、“情報資産”という考え方やその価値にも理解を深めていただく必要があるでしょう。
教育現場の情報セキュリティー環境整備には長期的パートナーシップが重要
——とはいえセキュリティー要件を十分に満たしたICT環境を整備しようとしても、教育現場の力だけでは困難です。
髙橋:おっしゃる通り自治体や教育委員会には情報セキュリティーやITインフラの専門家は少なく、小中学校においてもネットワークやシステムに詳しい教職員は限られています。そのため、外部事業者への業務委託が不可欠です。
望ましいのは、自社の利益だけではなく、児童生徒や教員の視点を重視している事業者をパートナーに選定することです。教育現場の課題を深く理解し共有できる姿勢があり、問題解決に向けて主体的に取り組む意欲を持っていることも大切です。
また、情報セキュリティー対策は、高価な製品を導入するだけでは不十分です。教育現場を取り巻く環境は常に変化しており、それに応じたシステムの見直しや運用ルールの変更、新たな課題への対応が必要です。このような継続的な取り組みへの支援が可能で、信頼できるパートナーの選定が、教育現場のデジタル化を成功に導く重要な存在となるでしょう。
——教育現場がさまざまな課題を抱えながらも、あるべきGIGAスクール構想を実現していくために、今後どのような情報セキュリティーの環境整備が求められるのか、ぜひご提言をいただけないでしょうか。
髙橋:「教育情報セキュリティポリシーに関するガイドライン」の本質的な意義について触れておきたいと思います。このガイドラインは、単にセキュリティーリスクから教育現場を守るだけのものではありません。
真の目的は、ICTを安心して活用できる環境を整備することで、子どもたちの発達と学びをより豊かなものにすることにあります。これは、GIGAスクール構想を支える重要な基盤となるものです。
教育現場や教育委員会はもちろんのこと、支援する事業者の皆さまにも、このガイドラインの根本的な理念をご理解いただき、ともに教育のデジタル化を推進していけることを願っています。私たちはこの原点を常に念頭に置きながら、より良い教育環境の実現に向けて取り組んでまいります。
髙橋 邦夫
合同会社KUコンサルティング 代表社員1989年豊島区役所入庁。情報化推進部門と利用主管部門の両方を経験し、多くの自治体からロールモデルと評価される“豊島区DX”を主導。2018年に合同会社KUコンサルティングを起業。地方自治体、教育委員会と省庁とを橋渡しする立場でDX推進のためのアドバイスを行い、10を超える自治体のアドバイザーを務める。総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」で自治体向けのガイドライン策定に携わった後、2017年より文部科学省「教育情報セキュリティポリシーに関するガイドライン」策定に参画。現在も改訂検討会座長として継続的に改訂に携わる。そのほかに2025年現在、総務省「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」委員、「地域情報化アドバイザー」、文部科学省「学校DX戦略アドバイザー」、「教育情報化推進アドバイザー」を担当。
関連情報
関連事例
関連コラム
関連ニュース
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。